Cyber-Angriffe gehören zu den bedrohlichsten Szenarien für Unternehmen und Organisationen. Das Management von Cyber-Risiken spielt daher in den verschiedensten Regularien und Standards eine große Rolle. Verbunden damit finden sich in den Gesetzen unterschiedliche Anforderungen und Vorgaben – mit dem Ziel, die IT-Sicherheit zu optimieren und zu stärken.

Dieser Blogartikel erklärt, was Cyber-Risikomanagement ist, was EU-Gesetze wie die NIS-2-Direktive und der Digital Operational Resilience Act (DORA) dazu konkret fordern und was Unternehmen beim ihrem Cyber-Risikomanagement beachten sollten.

Was ist ein „Cyber-Risiko“?

Risiko, (ital.) Wagnis, Gefahr, insbes. die Möglichkeit eines Misslingens einer mit der Absicht auf Gewinn ins Werk gesetzten Unternehmung – so definiert es der Brockhaus im Jahr 1903. 120 Jahre später wird der Begriff „Risiko“ deutlich weiter gefasst. So definiert die internationale Grundnorm für Risikomanagement ISO 31000 Risiko als „Auswirkung von Unsicherheit auf Ziele“. Diese sehr breite Definition erklärt sich in dem branchenübergreifenden Charakter der Norm: Hier geht es darum, einen allgemeinen Ansatz für Risikomanagement aufzuzeigen, der für verschiedenste Organisationen anwendbar ist. Entsprechend findet sich der Risikobegriff der ISO 31000 auch in anderen Normen wieder, etwa in ISO/IEC 27000 aus der Normenreihe für Informationssicherheitsmanagementsysteme (ISMS).

Beschrieben werden Risiken in der Regel mit Bezug auf ihre Ursachen (Risikoquellen), mögliche Ereignisse, deren Auswirkungen und deren Wahrscheinlichkeit. Das umfasst ausdrücklich auch mögliche positive Abweichungen vom Geplanten. Im Bereich der IT-Sicherheit ist das allerdings anders. Laut ISO/IEC 27000 sind Informationssicherheitsrisiken dadurch charakterisiert, dass Bedrohungen Schwachstellen von Assets (informationsbezogene Prozesse, Systeme, Netzwerke, Menschen) ausnutzen und dadurch einer Organisation Schaden zufügen können.

Risiken sind durch die Wahrscheinlichkeit des Eintretens eines Ereignisses sowie die Folgen und Auswirkungen seines Eintretens bestimmt. Dass diese Definition alles andere als eine einfache mathematische Gleichung ist, wird bei der Betrachtung der komplexen Risiken klar, die mit vernetzten IT-Systemen und Geräten verbunden sind. Denn Ausfälle oder Fehlfunktionen können hier unterschiedlichste Schäden zur Folge haben. So drohen etwa Produktionsausfälle, Datenverluste, finanzielle Einbußen durch Lösegeld- oder Strafzahlungen oder Beeinträchtigungen der Reputation. Im Bereich von kritischen Infrastrukturen drohen zudem negative Folgen für das öffentliche Leben, die Umwelt und die Gesundheit von Menschen.

Info: Risiko lässt sich oftmals in einer kleinen Formel ausdrücken und zusammenfassen, um Maßnahmen zu priorisieren: Risiko = Schaden x Eintrittswahrscheinlichkeit.

Breites Spektrum von IT-Risiken

Zudem ist das Spektrum der möglichen Risiken, die mit vernetzten digitalen Systemen einhergehen, ausgesprochen breit. Spektakuläre Fälle wie der Supply-Chain-Angriff auf die SolarWinds-Netzwerkmanagementsoftware Orion, der u. a. US-amerikanische Regierungsbehörden und namhafte Firmen wie Cisco, McDonald’s, Microsoft, und Visa betraf, lenken die öffentliche Aufmerksamkeit regelmäßig auf Risiken, die mit kriminellen Cyber-Attacken verbunden sind. Risiken für die IT beschränken sich aber nicht nur auf Cyber-Angriffe. Gefahren gehen ebenso von Extremwetterereignissen oder Naturkatastrophen aus oder von menschlichem oder technischen Versagen, wie das Beispiel des fehlerhaften Crowdstrike-Updates zeigt, das im Juli 2024 weltweit zum Bluescreen of Death von über acht Mio. Windows-Rechnern führte und u. a. Krankenhäuser, Banken, Flughäfen und Supermärkte betraf.

Beispiele für IT-Risiken

Cyberrisiken

• Ransomware-Angriffe
• Denial-of-Service-Angriffe (DoS)
• Supply-Chain-Angriffe
• Ausspähen von Geschäftsgeheimnissen (durch Social Engineering, Phishing etc.)
• Datendiebstahl und Identitätsdiebstahl

Höhere Gewalt

• Extremwetterereignisse, Katastrophen
• Stromausfälle

Technisches Versagen

• Hardware-Ausfälle
• Software-Fehler

Menschliches Versagen

• Verlust von Datenträgern
• Fehlkonfiguration, Fehlbedienung

Risiken bei Cloud-Anwendungen

• Fehlkonfiguration von Cloud-Umgebungen
• Unzureichender Schutz bei Datenübertragung

Risiken bei KI-Anwendungen

• Kontrollverlust (z. B. Fehlfunktionen durch komplexe Wechselwirkungen)

Dynamik von Cyber-Risiken – eine besondere Herausforderung

Insbesondere im Bereich der Cyber-Risiken kommt neben der Komplexität der Risikolandschaft eine weitere große Herausforderung hinzu, die sich vielleicht am besten mit dem deutschen Titel der kanadischen Filmkomödie The Supreme Kid aus den 1970er Jahren beschreiben lässt: „Bewegliche Ziele sind schwerer zu treffen“. Es entstehen laufend neue Bedrohungen, Sicherheitslücken werden neu entdeckt, Angriffsvektoren wandeln sich und ebenso die Motivationen und Ziele der Angreifer. Gleichzeitig gehören Cyber-Risiken unter den oben genannten zu den Risiken mit der höchsten Eintrittswahrscheinlichkeit – laut Bitkom waren 2023 ca. 80 Prozent der (befragten) deutschen Unternehmen von Angriffen auf ihre IT betroffen (72 %) oder wahrscheinlich betroffen (8 %) – in den Vorjahren waren es noch erheblich mehr.

Risikomanagement im normativen Kontext

Was tun, um solche Risiken zu vermeiden? Einschlägige Normen fordern hierzu ein strukturiertes Vorgehen – ein Risikomanagement. Die bereits erwähnten Risikomanagement-Normen ISO 31000 und ISO 27000 definieren dies als „koordinierte Aktivitäten zur Lenkung und Steuerung einer Organisation in Bezug auf Risiken“. Risikomanagement umfasst stets Aktivitäten zur Risikobeurteilung (Risikoidentifikation, Risikoanalyse und -bewertung), Risikobehandlung (insbesondere Maßnahmen zur Reduktion von Eintrittswahrscheinlichkeit und Schadenshöhe), Risikoüberwachung (regelmäßige Überprüfung der Wirksamkeit des Risikomanagements) sowie zur Berichterstattung (an interne oder externe Berichtsempfänger).

ISO/IEC 27005 konkretisiert das in Bezug auf das Management von Informationssicherheitsrisiken. Erste Voraussetzung ist die Identifikation sämtlicher zu schützender Assets, möglicher Bedrohungen, bestehender Absicherungen („Controls“), Schwachstellen sowie mögliche Folgen einer Kompromittierung. Die Analyse und Bewertung berücksichtigt etwa die Kritikalität betroffener Geschäftsprozesse und Assets und die möglichen Auswirkungen von Betriebsbeeinträchtigungen, bedrohten Deadlines, Datenverlusten oder Rufschäden. Zudem werden Kriterien dafür benötigt, welche Restrisiken akzeptiert werden. Je nach Beurteilung unterscheidet sich dann die Risikobehandlung: Risiken können vermieden, versichert, so akzeptiert oder aber mittels geeigneter Maßnahmen auf ein akzeptables Restrisiko reduziert werden.

Soweit ein kurzer Blick in den normativen Kontext. Aber was versteht der Gesetzgeber unter  Risikomanagement und welche Maßnahmen werden konkret gefordert?

NIS-2: Regulierung kritischer Infrastrukturen (KRITIS)

Die Richtlinie (EU 2022/2555) zur Netzwerk- und Informationssicherheit (NIS-2) ist neben der CER-Richtlinie (EU 2022/2557) eine von zwei zentralen EU-Regularien, mit denen der Gesetzgeber die Resilienz kritischer Infrastrukturen stärken will. Während die CER-Richtlinie die physische Sicherheit und Resilienz von Anlagen und Systemen in den Blick nimmt, konzentriert sich NIS-2 auf die Cyber-Sicherheit kritischer Infrastrukturen.

Mehr zu NIS-2 lesen Sie in unserem Blogbeitrag NIS-2 Richtlinie und wie sich Organisationen darauf vorbereiten können.

Was fordert NIS-2 in Bezug auf Cyber-Risikomanagement?

Zentrale Forderung der NIS-2-Richtlinie ist, dass Betreiber kritischer Infrastrukturen technische, operative und organisatorische Maßnahmen zum Risikomanagement ergreifen, um die Risiken für ihre Netz- und Informationssysteme frühzeitig zu erkennen, angemessene Sicherheitsvorkehrungen zu treffen und effektiv auf Sicherheitsvorfälle zu reagieren.

„Risiko“  definiert NIS-2 (Artikel 6) als „Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden“, gefasst als Beeinträchtigungen der bekannten Security-Schutzziele Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit. Bei konkreten Risikomanagementmaßnahmen sollen internationale Normen wie ISO/IEC 270xx herangezogen werden.

Dem Umstand, dass es keinen absoluten Schutz vor Risiken gibt, trägt NIS-2 mit der Forderung Rechnung, dass Maßnahmen dem bestehenden Risiko angemessen sein müssen. Kriterien für die Angemessenheit sind dabei der Stand der Technik (und ggf. der einschlägigen Normen) und die Umsetzungskosten: Bei der Bewertung der Verhältnismäßigkeit sind „das Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, gebührend zu berücksichtigen“ (Artikel 21, Abs. 1).

Anders als Regularien, die sich vor allem auf Risiken für die IT-Infrastruktur beschränken, verfolgt NIS-2 also einen gefahrenübergreifenden Ansatz und verweist auch explizit auf Risiken für die physische Umgebung der IT-Systeme.

Eine weitere wichtige Forderung von NIS-2 ist die Einbeziehung der Lieferketten in die IT-Risikobetrachtung. Besondere Aufmerksamkeit gilt hierbei den Software-Lieferketten, Software-Anbietern und Dienstanbietern, aber auch dem Austausch von elektronischen Daten.

Was gehört nach NIS-2 zum Cyber-Risikomanagement?

Artikel 21, Abs. 2 der NIS-2-Direktive listet konkret auf, welche Maßnahmen im Rahmen des Risikomanagements mindestens umgesetzt werden müssen, und zwar:

• Konzepte zu Informationssicherheit und Risikoanalyse
• Vorfallsmanagement
• Business-Continuity- sowie Notfall- und Krisenmanagementkonzepte
• Maßnahmen zur Sicherheit der Lieferkette (inkl. Beziehungen zwischen einzelnen Einrichtungen und ihren Anbietern oder Diensteanbietern)
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und IT-Systemen; risikobasiertes Schwachstellenmanagement
• Konzepte und Verfahren zur Bewertung der Wirksamkeit der Cyber-Sicherheitsmaßnahmen
• Regelmäßige Schulungen zu Cyber-Sicherheit
• Einsatz von Kryptografie und Verschlüsselung
• Identitäts- und Zugriffsmanagement (Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation, ggf. gesicherte Notfallkommunikationssysteme)

Mithin versteht die NIS-2-Direktive unter Cyber-Risikomanagement einen umfassenden Umgang mit Risiken, der die Identifizierung, Bewertung und Minimierung von Cyber-Sicherheitsrisiken ebenso einbegreift wie Maßnahmen im Fall eines erfolgreichen Angriffs.

DORA – der Digital Operational Resilience Act

Der Digital Operational Resilience Act EU 2022/2554 (DORA) bildet den europäischen Rahmen für digitale operationale Resilienz im EU-Finanzsektor. Ziel von DORA ist es, die Stabilität und Widerstandsfähigkeit des Finanzsystems zu stärken.

Viele Finanzunternehmen wie z. B. Kredit­institute, Zahlungs­dienstleister, Wertpapierfirmen, Ratingagenturen oder Versicherungsunternehmen, die nicht unter NIS-2 fallen, werden stattdessen durch DORA reguliert, ebenso kritische IKT-Drittdienstleister, die Dienstleistungen mit hohen Risiken für diese Finanzunternehmen erbringen (einige davon, z. B. Anbieter von Cloud-Computing-Diensten, fallen auch unter die NIS-2-Regularien und werden somit doppelt reguliert).

Mehr zu DORA erfahren Sie in unserem Blogartikel DORA Verordnung – Diese Anforderungen müssen betroffene Organisationen ab 2025 erfüllen.

Was versteht DORA unter Risikomanagement?

Auch DORA nutzt implizit das oben beschriebene Risikomanagement-Konzept mit Risiko-Identifizierung, Bewertung und Behandlung (Schutz und Prävention). Aufgrund der vielfältigen Verflechtungen im Finanzsektor legt DORA dabei auch besonderen Wert auf Risiken durch die Nutzung von IT-Dienstleistern („IKT-Drittparteienrisiko“).

Artikel 6 (Abs. 1) fordert von Finanzunternehmen einen „soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen, der Teil ihres Gesamtrisikomanagementsystems ist und es ihnen ermöglicht, IKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes Niveau an digitaler operationaler Resilienz zu gewährleisten.“ Dieser Rahmen muss umfassend und gut dokumentiert sein und regelmäßig (mindestens jährlich) sowie nach schweren IT-Vorfällen überprüft werden.

Im Anschluss umreißt die Direktive sehr detailliert, welche Maßnahmen der Risikomanagementrahmen beinhalten soll – u. a. sind dies:

• Klare Festlegung von Rollen und Verantwortlichkeiten für IT-Sicherheit – die Gesamtverantwortung trägt die Geschäftsführung (Artikel 8)
• Maßnahmen zur Gewährleistung von Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten (Artikel 9)
• Maßnahmen/Mechanismen zur schnellen Erkennung (Artikel 10) und zeitnahen Meldung von IT-bezogenen Vorfällen (Artikel 19)
• Konzepte und Maßnahmen zur Kommunikation schwerwiegender Vorfälle oder Schwachstellen gegenüber Kunden, anderen Finanzinstituten und der Öffentlichkeit (Artikel 14)
• Entwicklung von Plänen zur Reaktion auf IT-Vorfälle und zur Wiederherstellung des Normalbetriebs (Artikel 11, 12)
• Ein Prozess zur Erfassung und Behandlung aller ITK bezogener Vorfälle (Artikel 17)
• Entwicklung einer nachvollziehbaren und angepassten Risikoklassifizierung (Artikel 18)
• Regelmäßige Tests der digitalen operationellen Resilienz (unter Berücksichtigung der Unternehmensgröße und des Risikoprofils) (Artikel 24)
• Bedrohungsorientierte Penetrationstests für systemrelevante Institute – mindestens alle drei Jahre (Artikel 25)
• Überwachung und Management von Risiken, die durch IT-Dienstleister entstehen (Artikel 28)

Fazit

Cyber-Risikomanagement spielt eine zentrale Rolle bei NIS-2 und DORA. In beiden Regularien fordert der Gesetzgeber einen strukturierten Ansatz, der die Analyse möglicher Schwachstellen inkl. kontinuierlicher Einschätzung und Überwachung der Bedrohungen ebenso umfasst wie die Ableitung geeigneter Schutzmaßnahmen und ein Incident-Response-Management. Dabei gilt es auch, die gesamte Software-Lieferkette einzubeziehen, ebenso Dienstleister und Dienstanbieter. Und beide Regularien fordern, das Management von Cyber- und IKT-Risiken als fortlaufenden Prozess zu verstehen, der regelmäßig überprüft und an neue Bedrohungen angepasst werden muss. Dabei ist IT-Risikomanagement nicht nur für KRITIS-Betreiber oder den Finanzsektor wichtig. Angesichts wachsender Cyber-Bedrohungen sollte sich jedes Unternehmen damit auseinandersetzen, auch in Hinblick auf die Haftungsrisiken, die sich etwa aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder der Datenschutz-Grundverordnung (DSGVO) ergeben.

Nehmen Sie noch heute Kontakt mit uns auf und erfahren Sie, wie die Lösungen von Outpost24 Sie beim Management Ihrer Cyberrisiken unterstützen können!